像往常一样，谈论技术主题的新闻往往对细节模糊......

假设可以构建一个真正的量子计算机，那么：

• RSA 和其他依赖整数因式分解硬度的算法（例如 Rabin）是敬酒。Shor 的算法非常有效地分解大整数。
• DSA、Diffie-Hellman ElGamal 和其他依赖离散对数硬度的算法同样被破坏。Shor 算法的一个变体也适用。请注意，这对每个组都是正确的，因此这些算法的椭圆曲线变体也好不到哪里去。

• 对称加密被削弱；也就是说，一台量子计算机可以在2 ^n/2的时间内搜索一个大小为2 ⁿ的空间。这意味着 128 位 AES 密钥将降级为 64 位密钥的强度——但是请注意，这些是2 ^{64 个}量子计算操作；你不能套用 FPGA 和 GPU 研究的数据，并盲目地假设如果可以建造一台量子计算机，它就可以廉价地建造和运行。

• 同样，哈希函数对各种攻击的抵抗力也会同样降低。粗略地说，具有n位输出的散列函数可以抵抗强度为2 ^n/2的原像和高达2 ^n/3的碰撞（经典计算机的数字分别为2 ⁿ和2 ^n/2）。如今，SHA-256 对冲突的抵抗力仍与 170 位哈希函数一样强，即比“完美的 SHA-1”更好。

因此，如果最终建造了一台量子计算机，对称密码学就不会受到严重破坏。即使可以非常便宜地构建它，实际的对称加密和散列函数算法仍然会提供相当大的阻力。但是，对于非对称加密，这将意味着麻烦。尽管如此，我们仍然知道几种非对称算法，它们没有已知的有效的基于 QC 的攻击，特别是基于格约简的算法（例如 NTRU）和古老的McEliece 加密。这些算法现在不是很流行，原因有很多（早期版本的 NTRU 很弱；有专利；McEliece 的公钥很大；等等），但有些仍然可以接受。

在可以构建高效量子计算机的假设下研究密码学称为后量子密码学。

就我个人而言，我不相信 8000 万美元的微薄预算会让 NSA 走得更远。IBM 几十年来一直在研究这个主题，并且花费更多，而且他们最好的原型并不令人惊叹。NSA 在量子计算的想法上花了一些钱是非常合理的。毕竟，那是他们的工作，如果纳税人的钱不用于这种研究，那将是一个丑闻。但是搜索和查找之间是有区别的...

量子计算将对非对称加密产生最显着的影响，但对称算法被认为是安全的，具有足够大的密钥大小（256 位）。所以，是的，我们必须在量子计算真正起飞之前重新发明 x509/SSL（这是一个足够大的 TODO），但是会有很大的密码学领域将保持相对安全。

http://en.wikipedia.org/wiki/Post-quantum_cryptography http://www.pqcrypto.org/www.springer.com/cda/content/document/cda_downloaddocument/9783540887010-c1.pdf

当密码学家谈论量子计算机和后量子密码学时，实际上他们谈论的是Shor 算法在因数分解方面的强大功能，因此用于创建密码系统的基于因数分解数的难题被 Shor 算法（量子计算机）破解，因此 RSA、DSA ,ELGamal,Diffie-Hellman Key Exchabge,ECC 易受量子计算攻击！

在公钥密码学中，三种方案是量子安全的：

1. 基于格的密码学，如 NTRUEncrypt；基于格
2. 基于代码的密码学，如 McEliece 密码系统；基于信息论
3. 像隐藏域方程这样的多元密码学

在 AES 等对称加密中，如果您选择长密钥；您可以安全地对抗量子计算机和 NSA！

供未来阅读：Quanta 杂志链接和后量子密码学书籍

1-time pad 仍然是最强的、不可破解的（如果使用得当）加密。当然，您确实必须面对面交换垫子，但我估计 95% 需要这种安全级别的人会在设置安全通信之前会面。

只需指定用于特定消息的 256 位密钥即可完美运行并由安全服务使用。